Bezpieczne hasło - w railsach i merbie
Jeśli nie korzystamy ze SQLite to trzeba wpisać hasło do konfiguracji merb/rails. Kłopot w tym, że zazwyczaj chcemy, żeby było niedostępne dla innych.
Są tacy, którzy radzą korzystać z erb w takiej sytłacji dopisując:
]]>
Jednak przy starcie serwera każdy może zobaczyć jak wpisujemy hasło "przez ramie". Lepszym rozwiązaniem jest chyba skorzystanie z pakietu RDialog (instalujemy poprzez sudo gem install rdialog). Wtedy odpowiedni wpis w database.yml wygląda:
]]>
Komentarze do wpisu
Możesz śledzić odpowiedzi poprzez kanał RSS. Możesz dodać komentarz lub zostawić ślad (trackback) ze swojego bloga.
Seban
Po pierwsze, po co mi stosować hasło w środowisku development?
Po drugie database.yml nie musi być trzymany w Subversion czy innym SCM.
Po trzecie ważne hasła czyli te na środowiska produkcyjne mogą być znane tylko jednej osobie odpowiedzialnej za deploy.
Za to o samym RDialogu nie słyszałem, obczaję ;-)
21 kwietnia 2008, 18:49:58
Uzytkownik
Ad. 1. Żeby nie posłużyło do włamania (możliwość lokalnego exploita w bazie danych)
Ad. 2. A kto powiedział, że trzymam w git’ie? Ale wystarczyłby cd $MERB_ROOT && cat config/database.yml….
Ad. 3. Podobnie jak wyżej. Hasło nie powinno być przechowywane otwartym tekstem. A to jest kolejne zabezpieczenie.
21 kwietnia 2008, 21:51:08
Seban
Dla mnie to co opisałeś to raczej utrudnienie
21 kwietnia 2008, 21:54:20
Uzytkownik
Nie ma obowiązku stosowania. Ale wolę nie mieć haseł pałętających się otwartm tekstem.
21 kwietnia 2008, 21:55:22
Dodaj komentarz